Говорить на языке бизнеса в багбаунти

Я долго удивлялась почему мне иногда так занижают уязвимости. Я научилась демонстрировать импакт, а не сдавать просто XSS с алертом. Пишу видео демонстрации, стараюсь быть понятной, собираю цепочки проблем, но все еще чего-то не хватает. Чего же?

Сообщество и внутренний голос говорили, что просто не надо работать с мудаками не зрелыми программами, но кажется, что такой взгляд слишком поверхностный и проблема глубже.

В этом году получила через BAC чужие балансы и истории операций в системе. Там были особенности, которые позволяли запрашивать по своей компании, а получать чужие данные. Я выгрузила данные 2х компаний за 12 лет с тратами 30 млн. Заплатили за это после фикса 10к с комментариями, что юристы сказали, что никакого нарушения тут не происходит так как нет идентификации клиента. Данные о фирмах можно получить публично в этой системе, по другими данным это можно увидеть. И казалось, что стоило добавить эту информацию в отчет, но мне она казалась очевидной и поэтому я не стала при написании отчета это показывать. Оспорить выплату не получилось. Похожая история, когда заплатили за IDOR с критичным импактом как за лоу багу, потому что это "IDOR не интересная проблема".

Посмотрев эту дискуссию, поняла, что среднестатистический CISO не заплатит за просто IDOR, XSS и тд как за крит. Но бизнес умеет хорошо считать деньги.

Попробовала действовать по другому. Завела отчет, где показала, что не просто получила фичу бесплатно "вот так". Продемонстрировала сколько стоит эта фича по тарифам системы, что это главная фича для работы аккаунта, что вот такие и такие настройки приватности она нарушает. И мне заплатили по нижней границе "крита", хотя я завела отчет как "высокий", т е гораздо выше чем я рассчитывала. Тот же самый вендор, что очень сильно снижал критичность ранее.

Реализация каких рисков крично для компании? На вскидку скажу, что никто не хочет нарваться на штраф, потерять прибыль от сервиса, получить простой сервиса с долгим восстановлением, получить кражу аккаунтов пользователей.

Далеко не все баги и стоимость убытков при реализации можно подсчитать, а сделать это снаружи в рамках багбаунти кажется задачей не реальной. Сколько стоит 1 час простоя главного сервиса? А какого-нибудь низкоуровнего, который денег не приносит? Но держать в голове и в отчете реализацию рисков, смотреть на баг в рамках вектора атаки - точно стоит. Деньги бизнес сам посчитает, если ему на это указать и понятно описать.

Какие тут стоит сделать выводы? Нужно говорить не только на языке технарей, сдавая крутой poc, но и на языке бизнеса, потому что именно он решает в конечном счете сколько стоит баг.

Иногда сложно снаружи оценить влияние бага на бизнес

В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной.

Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда поднимают уровень или платят выше вилки (спасибо за рыбу).

Нашла баг, оценила ее как "Медиум". Вендор понизил до "Низкого" со следующим комментарием.

Получился практически анекдот. Это что получается багхантер санитар леса? Тут у меня 0 вопросов - полностью согласна с вендором, но смеюсь с этого очень сильно.

Чек-листы безопасности для QA

На работе у нас есть различные виды активности, направленные на выявление security чемпионов и повышение общих ИБ знаний.

Для QA помимо общей документации есть чек-листы тестирования безопасности. Рабочее, по понятным причинам, я выкладывать не буду, но вот то что я делала для разных докладов на внешних конференциях от себя лично хочу приложить.

Что-то возможно пора обновить, но пусть будет ссылками.

* bac-business-logic-checklist
* ru-error-handling-checklist
* ru-find-idor
* ru-auth-qa-checklist
* ru-qa-heisenbug

Итоги годового багхантинга

Пока я жду назначения вознаграждения и выплаты последних принятых багов хочу подвести итоги.

Сдавала баги на:
* https://bugbounty.bi.zone/ - спасибо за удобный фильтр по датам
* https://standoff365.com/
* https://yandex.ru/bugbounty

Буду считать только баги, которые принесли деньги. Так как в этом году были и оплаченные информативы у разных вендоров (что-то новенькое) и принятые без оплаты баги. Что-то странное творилось со статусами.

Всего оплачено: 18 + 35 + 1 = 54 на сумму около 2 млн рублей (для совсем ровной суммы жду назначения хотя бы 1 принятого отчета хотя бы по минимальной вилке).

Баги на миллионы я все еще не сдаю. Что ж... Но у меня появилось больше принятых критов и даже баги, которыми горжусь. Так же стала больше багов замечать случайно, вообще не тестируя, но не всегда у этих продуктов есть багбаунти программа.

В этом году я поменяла стратегию багхантинга и на новых приватках была преимущественно автоматизация и часто дубликаты. В ручную я старалась не просто по быстрому находить проблему (как в том году), а искать вектор атаки и собирать цепочки багов и выбрала вендора в которого решила углубится. Выбор был не очень хорош, а итог печален, но выводы из этого сделаны. Так как багхантинг остается моим хобби, то я выбирала вендора не по деньгам и триажу, а по технологии и интересности продукта. Ну вот что хочется потестить, а не кто точно адекватный. В следующем году планирую выбрать 4 вендора с кем проведу весь следующий год.

Так же если посмотреть по графику выплат и моей активности за 2 года багхантинга, то картина получается одинаковая. С начала года до мая я пытаюсь соблюдать ЗОЖ, ходить на фитнес, не употреблять алкоголь, но в месяц получается принята 1-2 баги на 20-80 тысяч. С мая же начинается активность в багхантинге и нормальные итоговые выплаты за месяц, но проседает ЗОЖ, ну или назову это "жизнь". Как соблюсти баланс активной жизни, правильного питания, физкультуры и багхантинга - пока не знаю и не умею, так как я человек очень увлекающийся и могу просидеть за поиском багов до 4 утра. Времени и сил после работы хватает на что-то одно. Так и балансирую.

Профессиональные итоги года:

Захотелось выделить отдельно от багбаунти все хорошее что произошло и помогает повышать знания и опыт. Да-да-да нужны ли еще итоги? - шар говорит да.

Что хорошего случилось на работе и можно об этом сказать публично:
* Перешла из команды девопс в команду ИБ - лучшее событие. Теперь зовусь не devsecops, а appsec, хотя и делаю почти тоже самое, но с большим смыслом.
* Пол года вела обучение поиску, устранению и предотвращению уязвимостей среди QA и разработчиков - выживали не многие, но кто оставался были супер. Получались даже форматы дискуссий, а не просто доклады благодаря высокой активности.
* Одна из целей обучения была воспитать 2 новых аппсеков - 1 самый активный участник со следующего года перейдет к нам в команду (это очень здорово).

Вне рабочая активность:
* Поучаствовала со стороны организаторов в Т-банк CTF: делала разборы заданий прошлых лет в режиме мастер-классов в Иннополисе.
* Прочитала 4 разных докладах на 3 конференциях и 1 митапе: "Проклятие дубликатов - как выжить в багбаунти и не потерять мотивацию" на VK Security Confab, "GitLab + DefectDojo + AI:
как я автоматизировала поиск багов в bug bounty" на OFFZONE, "Broken access control через уязвимости бизнес-логики" на Heisenbug и "Своя игра багбаунти" на Bugs 6.
* Написала автоматизацию багбаунти, которая себя окупила и немного заработала - около 70к. Все еще в разы меньше чем я нахожу руками - планирую развивать это направление в следующем году. Уже есть желание полностью переписать, чтобы проще было мастшабировать и продолжить эксперименты с AI.
* Начала палкой тыкать андроид приложения - надеюсь в следующем году смогу поднять в этом направлении экспертизу.

Как я играла и проиграла race condition

Есть фича покупка услуги. Захотелось мне ее потестить на race condition. Кто не знает что такое race condition - это ошибка проектирования многопоточной системы при которой работа зависит от того, в каком порядке выполняются части кода. Подробнее читать тут и тут.

Что обычно приходит на ум?
* Положить на кошелек сумму 1-2 услуг и попробовать списать больше, загнав аккаунт в отрицательный баланс.
* Если транзакция не связана напрямую с заказом, а есть некоторая проверка "оплачено", то попробовать за 1 операцию получить 2 услуги

Решено - сделано. Но тут случилась обратная ситуация и у меня списали 4 раза за 1 услугу. Переиграла себя и уничтожила. Обратно, как я хотела изначально сделать, не получилось. Ушла без баунти голодной. Как-то стало обидно и я пошла объяснять техподдержке проблему: смотрите "1 услуга, а списаний 4 в одно и тоже время". Мы переписывались около 1.5 месяца с учетом лага ответов в почти 1 неделю и мне дали промокод на 20% на следующую покупку. Деньги не вернули. Что ж.

Уязвимости, найденные случайно

Очень много багов, даже в багбаунти находятся и сдаются случайно. Зайти в определенный момент, увидеть ошибку и понять ее причину. Выполняя рутинные действия и внимательно наблюдая результат можно получить баунти. Если видите "странное поведение" - присмотритесь к нему, возможно, это будет проблемой безопасности.

Какие это проблемы чаще всего у меня?
* Различные broken access control
* Получение секретов
* И даже XSS. Был у меня опыт, когда я в рамках обучения в одном мессенджере скидывала пейлоады XSS, а они отрабатывали)))

Я думаю, что багбаунти - это удача + навыки + внимательность + скорость. Иногда в разных пропорциях. Бывает, что везет и у замеченных проблем, оказывается багбаунти программа. Некоторые знакомые рассказывают, что вообще все бытовые действия стали через Burp Suite/Caido/любая прокси проделывать.

Так недавно пока переписывалась в телеграмме, увидела проблему и попробовала завести. Правда телеграмм сказал, что это ожидаемое поведение, но это уже другая история)